一款基于Http.sys的利用工具
2022-12-3 08:32:28 Author: 菜鸟学信安(查看原文) 阅读量:39 收藏

一、工具原理介绍

利用 Http.sys 驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于LOL的小丑,故起名为Joker。

二、使用方法

此工具的使用前提是 管理员权限 IIS环境

1. 基于路径进行复用

Joker.exe "http://*:{PORT}/{PATH}"

可直接使用蚁剑进行连接,配置如下:
 连接密码随便填写
2.基于HOST进行复用(强烈推荐)
Joker.exe "http://{HOST}:{PORT}/"
蚁剑配置如下
这样,在正常访问80端口的时候为正常业务,在带特殊的头访问80端口的时候则为后门程序。
3.Regeorg适配
项目JokerTunnel为对Regeorg适配版本。
客户端使用Regeorg进行连接即可

三、二次开发

此项目的handle都集中在handle.h当中,以执行为例,传入参数依次为 Request的body、RequestBody的长度与响应内容的指针
四、Joker工具获取:

点击下方名片进入公众号

回复 ’ Joker ‘ 获取下载链接
关注公众号后台回复数字 1126 获取 应急响应实战笔记,1127 - ctf工具集合,1230 - 内网工具,3924 - 弱口令爆破工具。

文章来源: http://mp.weixin.qq.com/s?__biz=MzU2NzY5MzI5Ng==&mid=2247493767&idx=1&sn=3f4cc9a7102ac9ddf71c82256505efb7&chksm=fc9bf218cbec7b0e001d0af6839634281a5deead8e84c5141007bf3101a26cca12ff6239d22d#rd
如有侵权请联系:admin#unsafe.sh